3
這次公開課請來的嘉賓對自己的簡介是:
連續創業失敗的創業導師;
偽天使投資人;
某非知名私立大學創辦人兼校長;
業余時間在本校通信安全實驗室打雜。
自從他在黑客大會上演講《偽基站高級利用技術——徹底攻破短信驗證碼》后,黑產就盯上了這項技術。他們給能仿制這項攻擊方法的人開價保底一個月 200 萬元,外加分成。
這個攻擊方法其實1秒鐘可以血洗很多個銀行賬號。他說,保守估計一小時能帶來 7000 萬元的黑產產值。但是,他并不是為了錢。他的原話是:“短信驗證碼這種安全機制朽而不倒,我想把它推倒!”
他就是雷鋒網宅客頻道(微信ID:letshome)此前曾報道過的黑客 Seeker 。上次,Seeker 覺得自己和雷鋒網聊了太多“花邊八卦”,這次公開課,他決定好好聊聊“純技術”(開玩笑!依然不會放過你的八卦) ,談談如何利用 LTE/4G 偽基站+GSM 中間人攻擊攻破所有短信驗證,以及應對攻略。
Seeker,中國海天集團有限公司創始人兼CEO,IT老兵,網絡安全專家,1994年起創業,幾經起伏,至今仍在路上,主業是開辦私立大學,研發互聯網和網絡安全類產品,提供IT技術培訓和咨詢服務。Seeker對新技術非常敏感,13歲開始編程,初中開始玩無線電通信,之后一直保持在網絡安全和無線通信領域的研究興趣。
Seeker:我是一個連續創業者,1994年大學畢業,當年在北京中關村創辦第一家公司,從此一直在創業路上,創業方向主要是IT、互聯網和教育,業務幾經起落和調整,目前公司業務主要是開辦私立大學,研發互聯網和網絡安全類產品,提供IT技術培訓和咨詢服務。
我一直對新技術、新管理理念、新創業方法等懷有濃厚興趣,也追蹤很多科技領域的發展,算是個意識領先、比較新潮的技術派。13歲開始編程,初中開始玩無線電通信,是電腦神童和少年HAM,之后一直保持在網絡安全和無線通信領域的研究興趣。工作的原因,我主要活躍在教育圈、創業圈和投資圈,但是業余時間,我大部分用于網絡安全和無線通信領域的研究。
Seeker:我實現的這種攻擊方法,能夠證明短信驗證碼這種安全認證機制可被輕易突破,理應盡快放棄并使用更安全的認證機制。
先簡單說說原理:攻擊者可通過架設 LTE 偽基站吸引目標 LTE 手機前來附著(Attach),在附著過程中通過 RRC 重定向信令將該手機重定向到攻擊者預先架設的惡意網絡,通常是 GSM 偽基站,然后攻擊者用另一部手機作為攻擊手機,以目標手機的身份在運營商現網注冊,從而在現網擁有目標手機的全部身份,能夠以目標手機的身份接打電話、收發短信,這就是所謂 GSM 中間人攻擊。這種攻擊方法能夠攔截掉發給目標手機的所有短信,因此可以攻破以短信驗證碼作為身份認證機制的任何網絡服務,包括手機銀行和手機支付系統。
需要說明的是,LTE RRC 重定向,不止可以對接 GSM 偽基站,還可以對接 CDMA 偽基站,以及破解過的 3G、4G Femto Cell,同樣可以實現中間人攻擊。即使對接 GSM,某些情況下也可以不架設偽基站,直接對接現網 GSM 基站,然后使用半主動式方式來攔截短信,不用中間人攻擊也達到同樣的短信攔截效果。
LTE 重定向+ GSM 中間人攻擊的適用范圍廣,破壞性強。范圍廣,是通過LTE重定向攻擊來實現的,因為LTE 偽基站覆蓋范圍內的 95% 以上的 LTE 手機會受影響。破壞性強,是通過中間人攻擊這種形式,等于手機的電話短信的全部控制權在機主無法察覺的情況下轉到了攻擊者手里,不止可以攔截短信驗證碼,還可以組合出花樣繁多的各種利用方法。
LTE重定向攻擊的首次公開,是在今年5月出版的由 360 Unicorn Team 合著的新書《無線電安全攻防大揭秘》中簡短提到,而在在國際上的第一次公開展示,是在 5 月底阿姆斯特丹的 HITB 上,由 360 Unicorn Team 的黃琳博士完成的。黃琳演示了一部中國聯通的 iPhone 手機,被 LTE 偽基站重定向到 GSM 偽基站,驗證了 LTE 重定向攻擊的可能性。所以,我并不是第一個發現這個 LTE 可利用漏洞的人。
GSM 中間人攻擊的歷史更悠久,我既不是第一個發現的人,也不是第一個實現這種攻擊方法的人。
GSM 中間人攻擊在國內 2~3 年前就有黑產應用,最常見的就是號碼采集系統,用來采集某位置附近的 GSM 手機號碼,通過 GSM 偽基站+攻擊手機劫持附近的 GSM 手機用戶的身份去撥打一個特定電話號碼,然后匯總該號碼上的未接來電。這樣在該位置附近經過的人的手機號碼就不知不覺的泄露了。還有的黑產在劫持手機用戶身份后發短信訂閱某些SP服務,因為有明顯的費用產生,用戶容易察覺到。更隱蔽的做法是用來刷單,拿到手機號碼后短時間保持身份劫持狀態以攔截短信,然后迅速的完成網絡用戶注冊開戶或者某些敏感操作的短信確認,就可以實現批量自動注冊用戶和刷單了。還有今年發現的在國際機場附近劫持手機身份,然后在國外運營商網絡里撥打主叫高付費電話的利用方式,就更惡性了。
我發現理論上可以把 LTE 重定向攻擊和 GSM 中間人攻擊這兩者組合起來,形成一個廣泛適用的,威力強大的攻擊工具。以我對黑產的觀察,這種工具遲早被黑產研發出來并加以利用。電信協議漏洞的時效性非常長,因為需要照顧現存的幾十億部手機終端。電信協議漏洞一旦被黑產利用,危害將廣泛而持久。我個人預測,黑產將首先瞄準短信驗證碼這種已被證明不安全的認證機制,并先從手機銀行和手機支付系統入手。各金融機構和網絡服務商應充分警醒,早做準備,畢竟部署另一套身份認證系統需要不少時間。為了證明這種攻擊不只理論上成立,而且很快會真實出現,讓業界盡早放棄短信驗證碼,我編程實現了這種攻擊組合,并在 8 月的 KCon 黑客大會上做了演講《偽基站高級利用技術——徹底攻破短信驗證碼》。今天這次公開課,也是基于同樣目的,就是再推一把短信驗證碼這個朽而不倒,很不容易推倒的認證機制,并提出替代解決方案。
遵循負責任披露(Responsible Disclosure)模式,我不會對外發布攻擊源代碼和實現的具體細節,避免被黑產從業者利用。但是我仍會披露足夠多的信息,使各金融機構和網絡服務商能充分重視,了解到安全威脅的嚴重性并準備替代解決方案。
以上是背景信息,下面進入正題。以下內容假設群友已初步了解 GSM 和 LTE 的基礎知識。
LTE RRC重定向在現網中頻繁使用,多見于LTE手機接打電話時的電路域回落(CSFB),是指LTE系統通過 RRCConnectionRelease 消息中的 redirectedCarrierInfo 指示手機/用戶設備(UE)在離開連接態后要嘗試駐留到指定的系統/頻點。UE會先釋放掉當前連接,然后重定向到指示的頻點重新建立連接。
LTE RRC 重定向攻擊的原理:LTE 偽基站吸引 LTE 手機前來附著,在收到手機發來附著請求(Attach Request)之后,安全流程啟動之前,直接下發NAS消息拒絕附著(Attach Reject),緊接著下發 RRCConnectionRelease 消息,該消息攜帶 redirectedCarrierInfo 信息,指示手機關閉當前連接,然后轉到攻擊者指示的網絡(2G/3G/4G)和頻點(ARFCN),通常是預先架設好的惡意網絡,去建立連接,從而方便攻擊者實施下一步攻擊。
LTE RRC 重定向攻擊成立的原因:LTE 下手機(UE)和基站(eNodeB)應該是雙向認證的,按理說不應該出現未認證基站真偽,就聽從基站指令的情況。3GPP制定協議標準時,應該是在可用性和安全性不可兼得的情況下選擇了可用性,放棄了安全性,即考慮發生緊急情況、突發事件時可能產生大量手機業務請求,網絡可用性對于保證生命、財產安全至關重要,需要能及時調度網絡請求,轉移壓力,這時候大量的鑒權、加密、完整性檢查等安全措施可能導致網絡瓶頸,因此被全部舍棄。
LTE 偽基站的搭建:硬件:高性能PC、bladeRF(或USRP B2x0)、天饋系統;軟件:Ubuntu Linux、OpenAirInterface。相比 OpenLTE,OAI 的代碼要成熟穩定的多,而且同時支持 TDD 和 FDD LTE 。
LTE RRC重定向攻擊的編程實現:OAI(OpenAirInterface)代碼中定義了 R8 和 R9 的 RRCConnectionRelase, 但是沒有調用邏輯; 需要修改 MME 和 eNodeB 的代碼,增加相應邏輯。
下面介紹 GSM 中間人攻擊的原理:在目標 GSM 手機和運營商 GSM 基站之間插入一臺GSM偽基站和一部GSM攻擊手機。在目標附近啟動偽基站,誘使目標手機來駐留(Camping),同時調用攻擊手機去附著(Attach)現網的運營商基站,如果現網要求鑒權,就把鑒權請求(Authentication Request)通過偽基站發給目標手機,目標手機返回鑒權響應 ( Authentication Response ) 給偽基站后,該鑒權響應先傳給攻擊手機,攻擊手機再轉發給現網,最后鑒權完成,攻擊手機就以目標手機的身份成功注冊在現網上了。之后收發短信或接打電話時,如果現網不要求鑒權,就可以由攻擊手機直接完成,如果需要鑒權,就再次調用偽基站向目標手機發起鑒權請求,之后把收到的鑒權響應轉發給現網的運營商基站。
GSM 偽基站的搭建:硬件:普通 PC、USRP B2X0 + 天線(或Motorola C118/C139 + CP2102)。軟件:Ubuntu Linux、OpenBSC。OpenBSC:由Osmocom發起并維護的一套高性能、接口開放的開源GSM/GPRS基站系統。
GSM 攻擊手機的搭建:硬件:普通PC、Motorola C118/C139 + CP2102。軟件:Ubuntu Linux、OsmocomBB。OsmocomBB:基于一套泄露的手機基帶源代碼重寫的開源的GSM基帶項目,只能支持TI Calypso基帶處理器。被用來參考的那套泄露源代碼不完整,只有90+%的源代碼,部分連接庫沒有源代碼,而且也缺少DSP的代碼。OsmocomBB 被設計成黑客的實驗工具,而不是供普通用戶使用的手機系統,其Layer 2和3是在PC上運行的,方便黑客編寫和修改代碼,實現自己的某些功能。
GSM 中間人(MITM)攻擊的編程實現(OpenBSC):實現偽基站的基本功能;將附著手機的IMSI發給MITM攻擊手機;接收來自攻擊手機的鑒權請求,并向目標手機發起網絡鑒權;將從目標手機接收到的鑒權響應發回給攻擊手機。
GSM 中間人(MITM)攻擊的編程實現(OsmocomBB):接收偽基站發來的 IMSI ;以此 IMSI 向對應運營商網絡發起位置更新(Location Update)請求;如果運營商網絡要求鑒權,則將收到的鑒權請求發給偽基站;接收偽基站發回的鑒權響應,轉發給運營商網絡,完成鑒權;開始使用仿冒身份執行攻擊向量:接收/發送短信, 撥打/接聽電話。如果某個操作需要鑒權,則重復之前的鑒權流程。
LTE RRC 重定向攻擊的運行截圖:
GSM MITM 攻擊的運行截圖:
黑產可能的利用方式(輕量級):背包、小功率、小范圍。每次影響少數幾人,屬于針對性攻擊。
圖中的 USRP B200mini 用來實現LTE偽基站,一部 Motorola C139 用來實現 GSM 偽基站,一部 Motorola C118 用來實現攻擊手機。
黑產可能的利用方式(普通):架高/車載/背包、大功率、大范圍。影響很多人,屬于無差別攻擊。LTE 偽基站將能覆蓋半徑 300 米內 95% 的LTE手機,峰值性能每秒可重定向 15-20 部 LTE 手機。每臺 LTE 偽基站,需要4-5臺GSM偽基站和100-150部攻擊手機來對接。GSM 偽基站以合適的參數和方式架設,覆蓋范圍非常大,LTE手機一旦被LTE偽基站吸引并重定向到 GSM 偽基站,其駐留時間將足以完成幾十次短信驗證碼的接收。攻擊手機因為是通過 UDP 協議與 GSM 偽基站協同工作,理論上可以分散在互聯網覆蓋的任何地方。一旦這樣的一套攻擊系統被黑產架設起來,最壞的情況,將能以每秒 20 個手機用戶的速度血洗他們的所有銀行帳戶,最好的情況,是被黑產用來刷單,每秒可完成約 100 次帳戶注冊。這樣的系統威力很強,已超越黑產過去所擁有的各種攻擊手段。
Seeker:1) 影響全部4G/LTE手機,快速簡單粗暴。
2) 信息泄露。
3) 資金損失。
4) 如果被黑產利用,1秒可能血洗20部手機綁定的全部銀行賬戶,1小時就可轉款7000萬元。
Seeker:普通用戶沒有直接的辦法。金融機構和網絡服務商應盡快放棄短信驗證碼這種不安全的安全認證機制。
Seeker:沒有得到官方的表態。電信業的朋友個人觀點,主要是說電信是管道,是基礎設施,應用安全應由商家自己負責解決。這跟TCP/IP協議和互聯網的發展歷史一樣,從最初完全沒有安全機制,到部分協議有安全機制,協議在不斷升級完善,但是商家仍然都默認互聯網不安全,從而必須自己在應用層設有安全機制。同理,電信網絡也不能被信任,應在假設電信網絡不安全的前提下設計應用層的安全機制。
Seeker:1) 危害大:各種重要操作普遍使用短信驗證碼作為安全機制;2) 短信驗證碼朽而不倒,需要推倒;3) 補充說明: 這只是我更廣泛的滲透入侵研究的一部分,算是過程中的副產品。演示攻破手機銀行賬戶只是為了證明危害性。
Seeker:1) 解決方案:使用真正的雙因子認證系統,然后盡可能照顧用戶的易用性。2) 普通用戶:等待。3) 應用服務提供商:未雨綢繆,技術準備。4) 銀行/電信等:商機,提供雙因子認證的基礎設施服務。5) 我:提供解決方案和咨詢服務。
Seeker:1) 手機是獲得個人信息/敏感數據/權限的通道。2) 手機經常被攜帶進出辦公區域。在辦公區域外,就是突破的好時機。3) 手機可被多方式多層次滲透突破。4) 手機早已是滲透入侵大型網路時最好的突破口,只不過之前的入侵多是以互聯網為通路,多半是利用WIFI完成木馬植入,植入的效率不高。
Seeker:1) SIM卡:OTA推送小程序;2) 基帶:蜂窩數據網絡;3) 操作系統:蜂窩數據網絡/WIFI;4) 應用層:蜂窩數據網絡/WIFI;5) 以上是遠程,如果能物理拿到手機,BootLoader/TrustZone/HLOS/DRM……
Seeker:1) 核心網/Femto Cell的問題;2) 7號信令(SS7-MAP)/LTE Diameter互聯的問題;3) VoLTE的問題。
Seeker:因為我在 KCon 的那個演講的 PPT 里留過微信號,有的黑產業者看完后就來問我能不能合作……幾乎每天都有吧。
Seeker:黑產規模沒有權威數字,我也不清楚。仿制的門檻還是有一些,需要熟悉電信協議+基站射頻硬件+軟件開發的一支研發團隊。黑產現在還沒到養研發團隊的階段,研發都是單兵在做,要突破就需要一段時間了。
Seeker:1) 純粹是愛好,我喜歡研究軍事/情報機關神秘技術的原理并嘗試自己實現。2) 也是創業壓力的釋放,數字世界比真實世界更容易掌控。3) 主業是創業。從挑戰的角度,創業成功更具挑戰。從更廣泛的角度,社會本身是個大系統,是施展才華的更大戰場。4) 本人篤信社會價值創造理論,不創造社會價值的事都走不遠。
Seeker:1) 開源移動通信項目,基礎/平臺性質;2) 4G/5G安全測試平臺,測試基帶安全;3) 定位和攻擊偽基站;4) 運營商安全路測,測試基站配置隱患,眾包方式。
Seeker:1) 沒什么經驗。人的精力都是有限的,我在黑客技術上的突破,通常發生在創業失敗或主業的低谷時期。所以,根據目前我的技術表現,可以很容易的反推出我在企業發展上遇到了困難。
2) 保持技術不落伍,我有些經驗:掌握原理看透本質,堅決拿下生命周期長的基礎原理/核心技術,不在那些快速變化的浮華外表和細枝末節上浪費時間。
3) 另外補充一下,我不認為自己是商人。成功的企業家一定同時是成功的商人,但成功的商人不一定是成功的企業家。我雖然還算不上是成功的企業家,但從我決定創業的第一天,就是受企業家精神的驅動。
4) 之前我說過自己是個技術派,所以我以泛技術的視角來看待這個世界,我認為研發是技術,營銷是技術,財務是技術,管理是技術,創業也是技術,這個世界就是一個技術的世界,只要是技術的,都應該不難掌握。如果說黑客技術是在一個比較窄的領域的一種智力游戲,那么在這個廣闊的世界里創業和競爭,就更是一種有挑戰有成就感的智力游戲。我花了更多精力在研究怎么做企業,比投在安全領域的精力多多了,從技術角度看已掌握了做企業的很多知識,按理說早該有所建樹了。后來我發現我錯了,這個世界是個復雜系統,而且很多東西比如管理即是技術同時也是藝術。復雜系統包含著不確定性,不是簡單的邏輯推演成立結果就必然成立,這個跟黑客的數字世界是不一樣的。所以,當我在現實世界受挫之后,跑回到數字世界去尋找 100% 掌控的感覺,也算是一種心理治療吧。
Seeker:1) 我喜歡遍尋天下高手交流切磋技術,經常陌生拜訪認識新朋友。2) 國內研究無線安全的氛圍不濃,難得有一個專門研究無線安全的團隊,大家惺惺相惜。3) 答應擔任獨角獸團隊的榮譽顧問,未來可能會有研究合作。
Seeker:1) 本次講座是為了推倒短信驗證碼這種不安全的認證機制,也許推倒很困難,但總要有人推。2) 黑客技術只是智力游戲,是業余愛好。這個世界終究是機構比個人更有力量,建設比破壞更有價值。我更渴望做的是創建一個生態型經濟組織,專注某一自己擅長領域的社會價值創造,以共同愿景和高效率的價值創造來吸引和凝聚社會資源為自己所用,組織應能自我學習成長變異進化,并最終能真正推動所在領域的社會進步。這個野心和愿景更吸引我。3) 打擊黑產,不遺余力。4) 如有戰事,當為國效力。5) 愿各種形式支持安全領域的創業公司。
Seeker:1) 黑產沒未來,回頭是岸。2) 建設永遠比破壞更有價值,安全本身和安全以外的創新研發需要建設型人才。3) 希望有更多的人來玩無線通信和通信安全。4) 如果你有興趣一起玩通信安全,有能力和精力一起做無線通信領域的開源項目研發,請跟我聯系,我的微信:70772177。
讀者提問:如果短信驗證碼的機制不安全,哪些驗證方式是相對可靠,能替換它的?
Seeker:這個問題早有答案:就是雙因子或多因子認證。問題在于過份照顧用戶體驗和競爭導致用戶數增長的壓力,使得商家普遍不愿意第一個部署雙因子認證系統。誰能提供一個不顯著降低用戶體驗的安全認證系統,肯定會有很大的商機。
讀者提問:手機Kali怎么攻擊?(簡單探討下理論吧,防止警察蜀黍追捕)
Seeker:安卓手機上安裝NetHunter后,就是一部黑客手機,經常用做WIFI攻擊,USB口插上SDR可以做GSM偽基站,但是不足以支持LTE。
讀者提問:如何評價360在 DEF CON 上展示如何黑掉 4G LTE 手機?
Seeker:很好,為國爭光,中國人適合做安全,國際黑客大會上理應有更多中國黑客去分享。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
專題
